Check Point découvre l'espionnage de dissidents iraniens par Telegram

"Il y a un intérêt frappant à pouvoir espionner par le biais des services de messagerie instantanée", selon le directeur du renseignement sur les menaces de la société de cybersécurité
Archive d'images l'application de messagerie Telegram s'affiche sur un smartphone

PHOTO/AP  -   Archive d'images l'application de messagerie Telegram s'affiche sur un smartphone

Les enquêteurs de Check Point ont mis au jour une campagne de surveillance menée par des entités iraniennes contre les dissidents du régime, qui dure depuis six ans. Depuis 2014, les cybercriminels à l'origine de cette campagne lancent des attaques pour espionner leurs victimes, notamment le détournement de comptes Telegram, l'extraction de codes d'authentification à deux facteurs via des SMS, des enregistrements téléphoniques, l'accès aux informations de compte KeePass et la distribution de pages de phishing malveillantes à l'aide de faux comptes de service Telegram.

Les victimes semblent avoir été choisies au hasard parmi les organisations d'opposition et les mouvements de résistance tels que les Moudjahidin-e-Khalq, l'Organisation nationale de résistance d'Azerbaïdjan, et les citoyens du Baloutchistan.

Les documents malveillants comme appât

Les cybercriminels ont utilisé des documents malveillants pour attaquer leurs victimes et voler autant d'informations que possible stockées sur l'appareil infecté. Le chargement malveillant vise deux applications principales : Telegram Desktop et KeePass, le célèbre système de stockage de mots de passe. Les principales caractéristiques du logiciel malveillant sont les suivantes :

  • Vol d'informations
  • Téléchargez les fichiers Telegram pertinents à partir de l'ordinateur infecté. Ces fichiers vous permettent de prendre le contrôle total du compte de la victime.
  • Voler des informations dans l'application KeePass
  • Téléchargez tout fichier qui se termine par des extensions prédéfinies
  • Enregistrez les données de l'ordinateur portable et faites des captures d'écran sur le bureau.
  • Persistance
  • Mettre en place un mécanisme de persistance basé sur la procédure de mise à jour interne de Telegram.
Application malveillante Android

Au cours de leur enquête, les enquêteurs de Check Point ont découvert une application Android malveillante liée aux mêmes cybercriminels. L'application était déguisée en service pour aider les Iraniens en Suède à obtenir leur permis de conduire. Cette porte dérobée Android contient les caractéristiques suivantes :

  • Voler des SMS existants
  • Transmet les messages d'authentification à deux facteurs à un numéro de téléphone fourni par le serveur C&C contrôlé par le cybercriminel
  • Récupérer des informations personnelles telles que les contacts et les détails du compte
  • Démarrer un enregistrement téléphonique
  • Hameçonnage des comptes Google
  • Récupérer des informations sur les appareils, telles que les applications installées et les processus en cours d'exécution
Les Iraniens affichent leurs smartphones grâce à l'application de messagerie Telegram
AFP/ATTA KENARE - Les Iraniens affichent leurs smartphones grâce à l'application de messagerie Telegram

Hameçonnage de Telegram

Certains des sites web liés à l'activité malveillante hébergeaient également des pages de phishing se faisant passer pour des télégrammes. De manière surprenante, plusieurs chaînes iraniennes de cette application ont émis des avertissements contre ces pages, prétendant que le régime iranien était derrière elles. Ils ont également averti que ces messages de phishing, dans lesquels ils menaçaient leur destinataire d'abuser de leurs services et de bloquer son compte s'il n'entrait pas dans le lien joint (phishing), étaient envoyés par un robot Telegram.

Un autre canal de cet outil de messagerie a fourni des captures d'écran de la tentative de phishing montrant que les cybercriminels avaient créé un compte se faisant passer pour le compte officiel. Au départ, les attaquants ont envoyé un message sur une nouvelle mise à jour du Telegram pour la faire paraître légitime. Le message de phishing a été envoyé seulement cinq jours plus tard, et il pointait vers un domaine malveillant.

"Notre enquête nous a permis de réaliser plusieurs choses intéressantes. Tout d'abord, il y a un intérêt frappant à pouvoir espionner par le biais des services de messagerie instantanée. Bien que le télégramme ne puisse pas être décodé, il est clairement susceptible d'être détourné, de sorte que tous les utilisateurs de ces applications ou d'applications similaires doivent être conscients des risques liés à son utilisation.

Deuxièmement, les attaques de phishing sur les téléphones portables, les ordinateurs et les sites web peuvent être connectées au sein d'une même opération. En d'autres termes, ils sont gérés en fonction des renseignements et des intérêts nationaux, par opposition aux défis technologiques. C'est pourquoi, chez Check Point, nous continuerons à surveiller différentes zones géographiques dans le monde afin d'alerter sur les nouvelles campagnes de cybermenaces", note Lotem Finkelsteen, directrice de Threat Intelligence chez Check Point.